《Cisco ASA 防火墙基础.ppt》由会员分享,可在线阅读,更多相关《Cisco ASA 防火墙基础.ppt(26页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Cisco ASA 防火墙基础台州职业技术学院计算机系2台州职业技术学院计算机系台州职业技术学院计算机系ASA的基本配置一般包括:的基本配置一般包括:n配置主机名、域名和密码n配置接口n配置路由n配置远程管理接入n为出站流量配置网络地址转换台州职业技术学院计算机系台州职业技术学院计算机系配置接口配置接口台州职业技术学院计算机系配置接口台州职业技术学院计算机系台州职业技术学院计算机系台州职业技术学院计算机系台州职业技术学院计算机系台州职业技术学院计算机系台州职业技术学院计算机系台州职业技术学院计算机系为出站流量配置网络地址转换台州职业技术学院计算机系台州职业技术学院计算机系台州职业技术学院计算机
2、系台州职业技术学院计算机系台州职业技术学院计算机系台州职业技术学院计算机系asa#conf tasa(config)#hostname asa/设置主机名asa(config)#enable password cisco/设置密码配置外网的接口,名字是outside,安全级别0,输入ISP给您提供的地址就行了。asa(config)#interface GigabitEthernet0/0asa(config-if)#nameif outside/名字是outsideasa(config-if)#securit-level 0/安全级别0asa(config-if)#ip address*.*
3、.*.*255.255.255.0/配置公网IP地址asa(config-if)#duplex fullasa(config-if)#asa(config-if)#no shutdown台州职业技术学院计算机系配置内网的接口,名字是inside,安全级别100asa(config)#interface GigabitEthernet0/1asa(config-if)#nameif insideasa(config-if)#securit-level 100asa(config-if)#duplex fullasa(config-if)#speed 100asa(config-if)#no sh
4、utdown台州职业技术学院计算机系配置DMZ的接口,名字是dmz,安全级别50asa(config)#interface GigabitEthernet0/2asa(config-if)#nameif dmzasa(config-if)#securit-level 50asa(config-if)#duplex fullasa(config-if)#asa(config)#no shutdown台州职业技术学院计算机系网络部分设置asa(config)#nat(inside)1 192.168.1.1 255.255.255.0asa(config)#global(outside)1 222
5、.240.254.193 255.255.255.248asa(config)#nat(inside)0 192.168.1.1 255.255.255.255/表示192.168.1.1这个地址不需要转换。直接转发出去。asa(config)#global(outside)1 133.1.0.1-133.1.0.14/定义的地址池asa(config)#nat(inside)1 0 0/0 0表示转换网段中的所有地址。定义内部网络地址将要翻译成的全局地址或地址范围 台州职业技术学院计算机系配置静态路由asa(config)#route outside 0 0 133.0.0.2/设置默认路由
6、 133.0.0.2为下一跳如果内部网段不是直接接在防火墙内口,则需要配置到内部的路由。asa(config)#Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1台州职业技术学院计算机系地址转换asa(config)#static(dmz,outside)133.1.0.1 10.65.1.101;静态NATasa(config)#static(dmz,outside)133.1.0.2 10.65.1.102;静态NATasa(config)#static(inside,dmz)10.66.1.200 10.66.1.200;静态NAT
7、如果内部有服务器需要映射到公网地址(外网访问内网)则需要staticasa(config)#static(inside,outside)222.240.254.194 192.168.1.240asa(config)#static(inside,outside)222.240.254.194 192.168.1.240 10000 10/后面的10000为限制连接数,10为限制的半开连接数台州职业技术学院计算机系ACL实现策略访问asa(config)#access-list 101 permit ip any host 133.1.0.1 eq www;设置ACLasa(config)#ac
8、cess-list 101 permit ip any host 133.1.0.2 eq ftp;设置ACLasa(config)#access-list 101 deny ip any any;设置ACLasa(config)#access-group 101 in interface outside;将ACL应用在outside端口当内部主机访问外部主机时,通过nat转换成公网IP,访问internet。当内部主机访问中间区域dmz时,将自己映射成自己访问服务器,否则内部主机将会映射成地址池的IP,到外部去找。当外部主机访问中间区域dmz时,对133.0.0.1映射成10.65.1.101,static是双向的。PIX的所有端口默认是关闭的,进入PIX要经过acl入口过滤。静态路由指示内部的主机和dmz的数据包从outside口出去。台州职业技术学院计算机系